Privacy Shield ungültig: Was bedeutet das EuGH-Urteil für Unternehmen in der Schweiz?

Mit Urteil C-311/18 vom 16. Juli 2020 erklärte der Europäische Gerichtshof (EuGH) den Privacy Shield zwischen der EU und den USA per sofort für unwirksam. Damit entfällt die wichtigste Grundlage für die Übermittlung von europäischen Personendaten in die USA.

Im Ergebnis dürften die meisten amerikanischen Dienste per sofort nicht mehr für die Bearbeitung der Daten von Personen im Europäischen Wirtschaftsraum (EWR) eingesetzt werden. Viele Unternehmen in Europa müssten auf einen wichtigen Teil ihrer digitalen Infrastruktur verzichten.

Der EuGH als höchstes Gericht der Europäischen Union (EU) begründete die Ungültigkeit mit den weitreichenden Überwachungsmöglichkeiten von amerikanischen Behörden bei gleichzeitig ungenügenden Rechtsbehelfen für betroffene Personen in der EU.

Das EuGH-Urteil gilt zwar nicht für die Schweiz, hat aber dennoch erhebliche Auswirkungen auf schweizerische Unternehmen.

Bis 2015 wurde die Übermittlung von europäischen Daten in die USA mit der sogenannten Safe Harbor-Regelung abgesichert. Diese wurde vom EuGH mit Urteil C-362/14 vom 6. Oktober 2015 für ungültig erklärt und kurze Zeit danach durch den Privacy Shield ersetzt.

Antworten auf 6 wichtige Fragen zum Privacy Shield-Urteil

1. Welchen Zwecke hatte der Privacy Shield?

Daten von Personen im EWR, das heisst personenbezogene Daten gemäss Art. 4 Ziff. 1 DSGVO, dürfen nur an Drittländer übermittelt werden, wenn dort ein angemessener Datenschutz für solche Daten gewährleistet ist (Art. 44 ff. DSGVO). Ein solches Drittland sind insbesondere die USA.

Ob ein angemessener Datenschutz gewährleistet ist, kann beispielsweise die Europäische Kommission (EU-Kommission) feststellen. Für die Schweiz – aus Sicht der EU ein Drittland – ist ein solcher Angemessenheitsbeschluss hängig.

Für die USA stellte die EU-Kommission einen angemessen Datenschutz nur unter der Bedingung fest, dass sich die Bearbeiter von Personendaten dem europäisch-amerikanischen Privacy Shield unterworfen hatten. Die betreffenden Unternehmen verpflichteten sich damit freiwillig – bestätigt durch ein entsprechendes Zertifikat –, einen angemessenen Datenschutz gemäss europäischen Standard zu gewährleisten.

Das Privacy Shield (Framework) wurde als Abkommen zwischen der EU und den USA geschlossen. Die meisten amerikanischen Dienste, die Daten von Personen im EWR für europäische Unternehmen bearbeiten, beriefen sich bislang auf den Privacy Shield als Rechtsgrundlage. Zuletzt hatten sich knapp 5’400 amerikanische Dienste am EU-US-Privacy Shield beteiligt.

2. Gibt es Alternativen zum Privacy Shield?

Ein angemessener Datenschutz nach europäischem Standard kann insbesondere mit sogenannten Standardvertragsklauseln beziehungsweise Standard Contractual Clauses (SCC) gemäss Vorgaben der EU-Kommission vertraglich gewährleistet werden.

In seinem Urteil hielt der EuGH ausdrücklich fest, dass SCC in Bezug auf die USA wirksam sein können. Allerdings helfen SCC nur, wenn damit ein angemessener Datenschutz tatsächlich gewährleistet werden kann und nicht bloss pro forma vertraglich vereinbart wird.

Da der EuGH den Privacy Shield für ungültig erklärte, weil damit kein angemessener Datenschutz in den USA gewährleistet werden konnte, entfällt damit – zu Ende gedacht – faktisch auch die Möglichkeit, die Angemessenheit mit SCC zu gewährleisten.

Da der EuGH aber SCC in Bezug auf die USA nicht generell für unwirksam erklärte, kann man dennoch versuchen, sich auf SCC zu berufen, sofern solche von amerikanischen Diensten erhältlich sind. Gerade bei Personendaten, deren Übermittlung in die USA mit einem geringen Risiko verbunden ist, kann damit argumentiert werden.

3. Welche Auswirkungen hat das Urteil auf Unternehmen in der Schweiz?

Das EuGH-Urteil gilt nicht für die Schweiz, hat aber dennoch erhebliche Auswirkungen auf schweizerische Unternehmen:

Ein paralleles Privacy Shield (Framework) besteht zwischen der Schweiz und den USA. Momentan beteiligten sich über 3’800 amerikanische Dienste am CH-US-Privacy Shield.

Was nach dem EuGH-Urteil für den Privacy Shield zwischen der EU und den USA gilt, trifft sinngemäss auch auf den amerikanisch-schweizerischen Privacy Shield zu. Man darf deshalb nicht mehr davon ausgehen, damit die Übermittlung von Daten von Personen in der Schweiz in die USA absichern zu können.

Genauso helfen Standardvertragsklauseln auch aus schweizerischer Sicht nur, wenn damit tatsächlich ein angemessener Datenschutz gewährleistet werden kann.

Im Ergebnis dürften die meisten amerikanischen Dienste per sofort nicht mehr für die Bearbeitung von Daten von Personen in der Schweiz eingesetzt werden. Viele Unternehmen in der Schweiz müssten auf einen wichtigen Teil ihrer digitalen Infrastruktur verzichten.

In seiner Staatenliste (PDF) geht der Eidgenössische Datenschutzbeauftragte (EDÖB) momentan noch davon aus, dass der Privacy Shield funktioniert. Es ist aber davon auszugehen, dass in Kürze eine Anpassung erfolgen wird. Eine solche Anpassung wird allein schon deshalb erfolgen müssen, weil der EWR und die Schweiz einen gemeinsamen Datenraum mit freiem Datenverkehr bilden.

In jedem Fall waren und sind die Angaben in der Staatenliste immer nur Indizien, ob ein angemessener Datenschutz in einem Land grundsätzlich vorhanden ist. Im Einzelfall waren und sind immer die Bearbeiter von Personendaten verantwortlich, dass tatsächlich ein angemessener Datenschutz gewährleistet werden kann.

Im schweizerischen Datenschutzgesetz finden sich die Rechtsgrundlagen für die «grenzüberschreitende Bekanntgabe» in Art. 6 DSG.

4. Wie können Unternehmen auf das Urteil reagieren?

Im Gegensatz zu 2015, als die Safe Harbor-Regelung für ungültig erklärt wurde, sollten betroffene Unternehmen nicht darauf hoffen, dass so schnell eine Lösung gefunden wird wie damals mit dem Privacy Shield. Dagegen spricht die politische Lage in den USA mit Präsident Donald Trump und der COVID-19-Pandemie.

Gleichzeitig können die meisten Unternehmen nicht ohne weiteres auf amerikanische Dienste verzichten. Der wirtschaftliche Druck auf die europäisch-amerikanische Politik, eine neue Lösung zu finden, ist deshalb gross.

Aus diesen Gründen sollten Unternehmen verfolgen, ob die EU und die USA nicht doch wieder eine Lösung finden, denn eigentlich kann sich Europa nicht leisten, auf digitale Infrastruktur aus den USA zu verzichten.

In der Zwischenzeit können Unternehmen wie folgt auf das Urteil reagieren:

• Bei amerikanischen Diensten auf europäische Server ausweichen: Einige amerikanische Dienste ermöglichen ihren Nutzerinnen und Nutzern, Daten auf Servern in Europa zu speichern. Diese Möglichkeit besteht vor allem bei grossen Diensten wie Amazon Web Services (AWS), Google und Microsoft. Ob eine solche Speicherung in Europa genügt, wenn ein Dienst aus den USA genutzt wird, ist umstritten.
• Risiko bei amerikanischen Diensten mit Standardvertragsklauseln reduzieren: Im Gegensatz zum Privacy Shield sind Standard Contractual Clauses (SCC) in Bezug auf die USA nicht in jedem Fall unwirksam. Aus diesem Grund sollten SCC genutzt werden, um das Risiko bei der Nutzung von amerikanischen Diensten zu reduzieren. Dienste in den USA, die noch keine SCC anbieten, werden ihren europäischen Nutzerinnen und Nutzern nun zeitnah solche SCC anbieten müssen.
• Einwilligung der betroffenen Personen einholen: Eine weitere Möglichkeit, das Risiko zu reduzieren, ist die Einwilligung der betroffenen Personen für die Nutzung von amerikanischen Diensten. Allerdings sind die Hürden für eine rechtswirksame Einwilligung hoch, denn sie muss aktiv und ausdrücklich nach klarer und umfassender Information erfolgen. An diesen Hürden scheitert bereits die Rechtswirksamkeit der meisten Cookie-Banner.
• Ausnahmen im Rahmen der DSGVO beanspruchen: Art. 49 DSGVO erlaubt ausnahmsweise die Übermittlung von Personendaten in Drittländer, unter anderem «die Übermittlung ist für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich» (Art. 49 Abs. 1 lit. b DSGVO).
• Nach Möglichkeit keine amerikanischen Dienste nutzen: Wer auf Nummer sicher gehen möchte, verzichtet auf die Nutzung von Diensten aus den USA. Allerdings bricht damit ein wesentlicher Teil der digitalen Infrastruktur in Europa weg und viele Unternehmen würden ohne die Leistungen amerikanischer Dienste nicht überleben.
• Nach Möglichkeit keine Dienste, welche Daten in den USA bearbeiten lassen, nutzen: Viele Dienste, die nicht in den USA daheim sind, lassen dennoch Daten in den USA bearbeiten. Sie nutzen amerikanische Dienste zum Beispiel als Unterauftragsverarbeiter. Viele Dienste, die in der Schweiz ansässig sind, nutzen amerikanische Dienste, um ihre Leistungen erbringen zu können, was sie aber – wenn überhaupt – nur ungern offenlegen.
• Informationen von Hinweisen auf den Privacy Shield bereinigen: In vielen Informationen, die datenschutzrechtlich erforderlich sind, wird auf den Privacy Shield hingewiesen. Beispiele dafür sind Datenschutzerklärungen und Auftragsverarbeitungsverträge. Solche Hinweise sollten in Datenschutzerklärungen und Verträgen entfernt werden. Während die meisten Datenschutzerklärungen einseitig angepasst werden können, müssen mit Vertragsänderungen üblicherweise alle Parteien einverstanden sein.

Sollten die EU und die USA wieder eine Lösung finden, ist davon auszugehen, dass die Schweiz wie schon bei der Safe Harbor-Reglung und beim Privacy Shield versuchen würde, diese nachzuvollziehen.

5. Welche Risiken drohen bei der Nutzung von amerikanischen Diensten?

Im Europäischen Wirtschaftsraum (EWR) drohen Unternehmen, die weiterhin amerikanische Dienste nutzen, Massnahmen einschliesslich Sanktionen von Datenschutz-Aufsichtsbehörden sowie Abmahnungen von betroffenen Personen wie auch von Konkurrenten und Konsumentenschutzorganisationen.

Mit Abmahnungen ist insbesondere in Deutschland zu rechnen. Da für viele Unternehmen in der Schweiz die europäische Datenschutz-Grundverordnung (DSGVO) teilweise anwendbar ist, sind sie direkt von diesen Risiken betroffen. Bei den Datenschutz-Aufsichtsbehörden ist zu erwarten, dass sie zumindest vorläufig eine gewisse Zurückhaltung mit Massnahmen zeigen werden, so wie damals schon nach der Ungültigkeit der Safe Harbor-Regelung.

In der Schweiz drohen vor allem vertragliche Risiken. Vertragspartner könnten gegen Unternehmen in der Schweiz vorgehen, wenn diese nicht in der Lage sind, einen angemessenen Datenschutz zu gewährleisten, weil sie amerikanische Dienste einsetzen. Das gilt insbesondere, wenn solche Unternehmen die Daten von Personen im EWR bearbeiten und dadurch die DSGVO teilweise anwendbar ist.

6. Was gilt für die Nutzung von Diensten in anderen Ländern?

Aufgrund von Whistleblower Edward Snowden findet die anlasslose und verdachtsunabhängige Massenüberwachung durch amerikanische Behörden besondere Beachtung in Europa. Allerdings sind die USA längst nicht der einzige Überwachungsstaat. Was der EuGH an den USA in seinem Urteil kritisiert, trifft auf viele andere Länder zu.

Ein solches Land ist – nüchtern betrachtet – auch die Schweiz. Mit dem neuen Nachrichtendienstgesetz (NDG) ist in der Schweiz jede Person verdächtig und wird überwacht, ohne sich wirksam wehren zu können. Die Digitale Gesellschaft führt deshalb Verfahren gegen die Kabelaufklärung und gegen die Vorratsdatenspeicherung in der Schweiz. Seit Jahrzehnten besteht eine enge amerikanisch-schweizerische Zusammenarbeit zwischen Geheimdiensten. Eigentlich müsste die EU-Kommission unter diesen Umständen der Schweiz die Anerkennung als Drittland mit einem angemessenen Datenschutz verweigern.

Unabhängig davon müssen Unternehmen in der Schweiz, die Dienste ausserhalb des Europäischen Wirtschaftsraumes (EWR) nutzen, immer prüfen, ob ein angemessener Datenschutz gewährleistet ist, insbesondere durch das jeweilige Datenschutzrecht oder mit Standardvertragsklauseln.

In Ländern wie Indien, Serbien, Vietnam oder Weissrussland, die Schweizer Unternehmen bevorzugt für Nearshoring und Offshoring nutzen, gilt der Datenschutz standardmässig nicht als angemessen.

Fazit: Pyrrhussieg für den Datenschutz in Europa

Mit dem Urteil wird der Datenschutz in Europa nur scheinbar gestärkt. Das Urteil ist ein Pyrrhussieg für den Datenschutz in Europa.

Scheinbar, weil Europa nach inzwischen über 20 Jahren digitalem Rückstand nicht in der Lage ist, die benötigte digitale Infrastruktur selbst zu betreiben und weiterzuentwickeln. Ohne Hardware aus Asien und ohne Dienste sowie Software aus den USA würde die europäische Wirtschaft, die unter dem anhaltenden Verlust digitaler Kompetenzen leidet, bei der Digitalisierung noch weiter ins Hintertreffen geraten. Daran wird sich absehbar nichts ändern, zumal das Privacy Shield-Urteil die bereits hohen Regulierungskosten für europäische Unternehmen weiter erhöht.

Scheinbar aber vor allem auch, weil der europäische Überwachungsstaat nach amerikanischem Vorbild ausgebaut wurde und weiter ausgebaut wird. Europa sitzt in dieser Hinsicht im Glashaus und europäische Staaten können nicht glaubwürdig beanspruchen, die Menschen in Europa vor dem Missbrauch ihrer Daten in den USA zu schützen, wenn sie diese Menschen gleichzeitig anlasslos und verdachtsunabhängig massenüberwachen.

Der Datenschutz der Menschen in Europa verbessert sich durch das Urteil nicht. Die vermehrte Nutzung von europäischen Diensten kann sogar dazu führen, dass der Datenschutz geschwächt wird. Das Fehlen digitaler Kompetenzen in Europa betrifft auch die Gewährleistung der Datensicherheit und für viele Menschen in Europa ist es nachteilig, wenn europäische Behörden einfacher auf ihre Daten zugreifen können als wenn diese in den USA liegen.

Europäische Dienste, die sich nun gestärkt fühlen, dürften vergeblich auf mehr Umsatz hoffen. Dienste in Europa, die nicht konkurrenzfähig sind, werden es auch durch das Privacy Shield-Urteil nicht. Rechtsprechung kann fehlende Innovationsfähigkeit nicht ersetzen.

Das Urteil stärkt in erster Linie grosse amerikanische Dienste, die sich eine Tochtergesellschaft – meist im vergleichsweise regulierungsfreundlichen und steuergünstigen Irland – sowie Datacenter in Europa leisten können. Europa wird noch stärker in die Abhängigkeit von einigen wenigen grossen Diensten aus den USA geraten.

Bild: Pixabay / Caniceus, Pixabay-Lizenz.